Pese a que conocemos desde hace meses las estafas por SMS que suplantan a empresas de mensajería con diversos pretextos con el objetivo de instalar una aplicación maliciosas en teléfonos Android, no ha sido hasta ahora que una compañía de ciberseguridad ha puesto cifras y nombre a esta importante amenaza. Un serio problema, principalmente para usuarios españoles, que no hace más que agravarse con sucesivas campañas.
FluBot es el nombre que han dado al malware, "porque su tasa de propagación y su vector de infección se asemejan a la gripe común", y estas las cifras que estima la empresa suiza PRODAFT: más de 60.000 terminales Android infectados y 11 millones de números de teléfonos robados. Una cifra, esta última, que representa el 25 % de los habitantes de España.
Aseguran que en 6 meses podría robar todos los números de teléfono de España
Llevamos viendo desde finales de 2020 y principios de 2021 cómo se suceden campañas que siguen un mismo patrón: mediante un SMS, avisan de la recepción de un paquete suplantando a una empresa logística e invitan al receptor del mensaje de texto a instalarse una aplicación, saltándose diferentes sistemas de seguridad del teléfono, para supuestamente poder saber dónde está el paquete.
Hemos visto campañas de este tipo que suplantan a Correos, a FedEx o a DHL. También, aseguran desde la compañía que ha estimado el impacto de la amenaza, el troyano bancario también se ha presentado como una instalación de Chrome. Aunque este disfraz no lo habrían usado tanto.
PRODAFT, que ha publicado el resultado de su investigación, ha podido medir el impacto de FluBot gracias a la desanonimización de la infraestructura de mando y control de la red de bots que se ha tejido. En el panel de control han podido ver que, a pesar de su visión simplista, fue capaz de manejar decenas de miles de conexiones con dispositivos infectados "sin ningún problema de rendimiento". Concretamente, conexión con los mencionados 60.000 móviles Android.
El problema, más allá de la infección en sí del dispositivo, es que el malware puede llegar a robarnos dinero de nuestras cuentas bancarias a través de las aplicaciones bancarias. Como relatan nuestros compañeros de Xataka, quienes están detrás de este peligroso troyano son capaces de acceder a nuestro dispositivo y a nuestras cuentas. Pueden, incluso, operar con ellas y retirar dinero sin hacer ruido gracias, entre otros motivos, a que puede leer los SMS entrantes y capturar los códigos de confirmación que envían las entidades bancarias para confirmar operaciones. Es, inequívocamente, uno de los troyanos más peligrosos y sofisticados en la historia de Android.
Entre otros motivos, según la investigación, porque más allá de interceptar notificaciones, establecerse como aplicación por defecto para SMS para así poder controlarlos, robo de agenda de contactos, etcétera, es que mediante el servicio de accesibilidad de Android el troyano puede mostrar sus pantallas de phishing encima de otras aplicaciones legítimas: por ejemplo, simular la pantalla de identificación de una aplicación de un banco como muestran los investigadores. En el ejemplo suplantan a Cajamar. Esto es algo que hasta ahora desconocíamos sobre esta estafa SMS y que apuntan, es su fin último, hacerse pasar por las aplicaciones bancarias legítimas.
En una entrevista con The Record, uno de los responsables de la investigación dice tener la teoría de que el malware si dirige a España principalmente "debido a la insuficiente infraestructura bancaria móvil de España". Según su razonamiento, "los autores de las amenazas encuentran más fácil cobrar el dinero robado y salirse con la suya".
Los expertos suizos señalan que el 97 % de las víctimas actuales, al menos las que ellos han podido detectar, se localizan en España. Mediante las infecciones de sus terminales, además, han conseguido robar de sus agendas un total de 11 millones de números de teléfono móviles, lo que representa el 25 % de la población española.
Y lo importante en este caso no es el robo en sí, sino que todos esos números se pueden emplear para replicarse. Un terminal infectado puede estar enviando SMS como el que derivaron en su infección a los contactos de su agenda; incluso usando los nombres de la misma, por eso están llegando mensajes de texto que se dirigen al receptor por su nombre.
Desde PRODAFT aseguran que este malware sería capaz de recoger "casi todos los números de teléfono en España en un plazo de 6 meses" si no se toman medidas. El problema es que, según explican, la funcionalidad de propagación por SMS de FluBot es extremadamente buena: cuenta con una buena implementación y eso le permite funcionar en casi todas las configuraciones que encuentra en los terminales infectados.
Por otro lado, se desconoce tanto quién está detrás de esta amenaza como si afectará en el futuro otros países de forma especial. No obstante, los investigadores han encontrado en la muestra de malware contiene contenido textual para dirigirse a usuarios de habla alemana, polaca e inglesa. Para los afectados, pueden seguir este tutorial paso a paso para desinstalar la aplicación falsa de esta estafa SMS.
Ver 8 comentarios